OpenAI запустила охоту за багами в открытом коде

22 июня OpenAI и компания Trail of Bits запустили «Patch the Planet» — инициативу, которая с помощью ИИ находит уязвимости в открытом программном коде раньше, чем это делают злоумышленники. Сканирует Codex Security — ИИ-инструмент OpenAI, обученный читать код на предмет дыр в безопасности.

Процесс намеренно не полностью автоматизирован. Эксперты Trail of Bits запускают Codex Security на открытых кодовых базах, а потом вручную проверяют каждую находку, прежде чем она попадёт к разработчикам проекта. Команда работает вместе с мейнтейнерами — не просто присылает список проблем, а помогает сделать рабочие исправления и написать тесты, которые не дадут той же дыре появиться снова. Дополнительно строятся шаблоны для повторного использования, чтобы проекты могли продолжать находить похожие уязвимости самостоятельно.

Принцип «не добавлять нагрузку» здесь ключевой. Мейнтейнеры открытых проектов и так тонут в потоке низкокачественных автоматических отчётов о безопасности. Волонтёру, который поддерживает популярную библиотеку в свободное время, не нужна ещё одна папка непроверенных предупреждений — ему нужен готовый фикс. Patch the Planet строится именно с этим пониманием.

Почему это важно для каждого, кто что-то строит

Если ты строишь что угодно — веб-приложение, API, ИИ-инструмент — ты почти наверняка зависишь от открытых библиотек, которые писал кто-то другой и которые ты редко проверяешь. Аутентификация, шифрование, парсинг данных, HTTP-клиенты: всё это зачастую чьи-то волонтёрские проекты. Когда в 2021 году в Log4j — широко используемой Java-библиотеке логирования — нашли критическую уязвимость, под угрозой оказались сотни миллионов устройств по всему миру. Дыра тихо сидела в коде годами, пока её не нашли.

Риск не исчезает, если его игнорировать. Уязвимость в библиотеке, от которой ты зависишь, — это твоя уязвимость: под удар попадают твои пользователи. Patch the Planet не решает всю проблему разом, но двигает иглу: ИИ просматривает большую кодовую базу за время, которое человеку-аудитору потребовалось бы только на первые несколько файлов, и замечает паттерны, которые легко пропустить на шестом часу однотипной проверки. Это ИИ, полезный не просто для написания нового кода, но и для аудита кода, на котором мир уже работает.